EC-CUBE 4.0系列:关于跨站点脚本漏洞 最新发现

最新推荐文章于 2022-12-02 15:41:44 发布
最新推荐文章于 2022-12-02 15:41:44 发布
阅读量342 收藏
点赞数
分类专栏: eccube 文章标签: php php5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/stwood007/article/details/116702495
版权

事实证明,EC-CUBE 4.0系列中存在一个漏洞。

已经确认使用此漏洞的多种攻击,并且它是高风险漏洞,请尽快采用以下任何一种方法。

  • 方法1:更新代码
  • 方法2:升级EC-CUBE的版本

方法1 更新代码(对于那些已自定义EC-CUBE主机 有源代码的人)。

  1. 找到目标文件
    src/Eccube/Resource/template/admin/Order/mail_confirm.twig

    请在第114行左右更改。

    更改之前

    {{ form.tpl_data.vars.data|trans|raw|nl2br }}

    变更后

    {{ form.tpl_data.vars.data|trans|nl2br }}


    如果该文件存在于下面路径,请以相同的方式进行更正。
    /app/template/admin/Order/mail_confirm.twig

  2. 删除缓存

    请登录到EC-CUBE管理屏幕,然后从内容管理->缓存管理页面中删除缓存。

方法2 升级到最新版本。

个人更建议使用方法1,因为自定义的东西可能太多了啊,怕更新后误操作 将代码弄没了。

 

 

 

 

stwood007
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
日语ec cube 商城网站 制作 商城网站设计
weixin_44389981的博客
01-03 1186
网站类型:电商网站提供驻地开发:否数据库:MySQL开发语言:PHP 服务介绍 Eccube 是日本本土开源的商城系统。Eccube在猪八戒上提供第一流的日语eccube商城网站设计服务。 我们从事eccube的日语商城网站设计5年了,技术和经验逐渐积累。能够完成日本客户和中国客户的商城网站的各种要求。有留学归来海归做日语把关,专业美工,美工的日语也已经2,3级水平。 网站制作过程中,注重seo效...
doc4.ec-cube.net:EC-CUBE 4系列开发文档
04-28
关于本文档站点的配置工具EC-CUBE 4.0开发人员文档托管在。我们还使用“。如何发送拉取请求创建一个Github帐户并从您自己的存储库中创建一个请求请求。货叉doc4.ec-cube.net 将doc4.ec-cube.net存储库分支到您的...
ec-cubeEC-CUBE是日本最受欢迎的电子商务解决方案
02-05
EC-CUBE 4.0 本ドキュメントはEC-CUBEの开発者を主要な対象者としております。 はッケージ版は正式リリース后にで配布します。 カスタマイズやEC-CUBEの利用,仕様に关してはをごください。 本体开発にあたって不明点などあればをご利用下さい。 EC-CUBE 3系の保守については, にて开発を行っております。 EC-CUBE 2系の保守については, にて开発を行っております。 インストール EC-CUBE 4.0のインストール方法 开発ドキュメントのの手顺に従ってインストールしてください。 CSSの编集・ビルド方法 のソースコードはhtml/template/{admin,d
Ec-cube 2 /Ec-cube 3 Paypal插件问题 请尽快更改您的 PayPal 集成
博客标题
02-12 455
Ec-cube 2 /Ec-cube 3 Paypal插件问题 请尽快更改您的 PayPal 集成 止日期将至:请确保您的系统与 PayPal 安全升级兼容,以便您能够继续收款 尊敬的 XXX: PayPal 一 直将安全与保护视为我们的首要任务。现在,我们正在升级我们的系统,升级之后,所有通过 PayPal 进行的外部连接均需采用 TLS 1.2 和 HTTP/1.1 。确保您的 PayPal ...
ECCUBE4 系列延长会员登录的会话时长(自动登录)
stwood007的博客
07-07 335
EC-CUBE 4 系列中,会话功能用于维护会员登录/购物车产品(在eccube4 系列中,产品数据本身现在存储在数据库中)。 默认情况下,此会话会在您关闭浏览器时过期等同于未选中“下次自动登录”,否则您将被注销,因此我将向您展示如何扩展它。 会话持续时间的工作原理 COOKIE_LIFETIME 和 GC_MAXLIFETIME是影响会话持续时间的参数。 COOKIE_LIFETIME为浏览器端cookie保留时间; GC_MAXLIFETIME为服务端会话数据保留时间。 默认情况下...
123ecphp中什么意思,什么是EC-CUBE
weixin_39750195的博客
03-12 114
相信很多人都会经常看到EC-CUBE,那么,EC-CUBE是什么?下面php中文网就为您介绍一下EC-CUBE。一:什么是EC-CUBEEC-CUBE是专门从事EC站点管理和管理的CMS(内容管理系统),是一个开源的EC站点构建包,可以免费使用,尽管EC-CUBE是免费的,有着丰富的功能和标准配置,让操作相对容易。二:使用EC-CUBE做什么由于EC-CUBE涵盖了EC站点运行所需的基本功能,因此...
eccube3-bootstrap-plain-template:EC-CUBE3的普通引导模板
05-22
EC-CUBE3引导程序纯模板 EC-CUBE3的普通引导模板 概述 Bootstrap3已被EC-CUBE3用作默认模板,但是由于已经对其进行了很多定制,因此我尝试使用普通的Bootstrap来实现它,这是Twig的一种做法。 (目前正在实施) 政策...
EccubeMakerBundle:适用于EC-CUBE4的Symfony的MakerBundle扩展插件
04-08
EccubeMaker捆绑这是一个Eccube Maker Bundle插件,扩展了Symfony的Maker Bundle并支持EC-CUBE 4。安装后,将添加EC-CUBE4的maker命令。 maker命令生成的文件输出到app / Customize目录。安装如果您将其克隆到应用...
ec-cube2:EC-CUBE官方存储库版本2
02-16
EC-CUBE 2.17系 EC-CUBE Tracについて EC-CUBE 2.13系については,2014年10月以前に利用されていた, とがございますので,合わせてご参照ください。新规のご投稿やコミットはいただけませんが,GitHubに移いない不...
EC-CUBE建站指南
12-05
详细描述了使用EC-CUBE框架搭建网站
ec-cube1 管理画面_サイトマップ
01-15
00_管理画面_サイトマップ
eccube网站
09-03
eccube网站是日本的开源电子商务网站,方便扩展
eccube下载
06-20
eccube最新版本下载,日本流行的电子商务系统
如果忘记ECCUBE4系统管理屏幕的密码该怎么办
stwood007的博客
01-12 556
朋友您好,这是eccuber的东北小伙儿。 疫情当前,全民防范,众志成城,不串门不聚餐,不给疫情防控添堵添麻烦,保护自己与家人,请大家注意身体状况。 突然之间,您是否曾经忘记了管理员屏幕密码并急于求助? 现在,我想解释一下如果您忘记了EC-CUBE4系列管理屏幕上的密码该怎么办。 我将编辑ECCUBE的内容,但是为了便于理解,我将使用图像对其进行解释,因此我认为即使是那些认为“我不是开发人员”的人也可以放心地这样做。 要编辑的文件 ● /app/config/eccube/packages.
Google Admin SDK API 授权
quzuqiang的博客
09-23 819
如何授权Google Admin SDK API 如何授权 googleapiclient python模块
PHP搭建自己的web框架-前言
很青的青蛙专栏
12-19 2059
目前使用PHP开发项目已经有几年时间,虽然不是专职的PHPer,但在现在的公司,走过了PHP从入门到熟悉到熟练应用过程,一直在使用,不敢言专业,属于应用PHPer。现在希望能很好地总结并分享一下自己PHP历程和经验,也希望看过文章的朋友能有所收获。
ECcube 使用负载平衡器时无法识别 HTTPS/SSL 时的响应,链接都变成 http
最新发布
stwood007的博客
12-02 467
ECCUBE所有链接都变成 http://(重定向到 HTTPS 时很难注意到),提交表单数据失败
研祥EC7-1814L2NA:Mini-ITX嵌入式主板技术规格
"研祥EC7-1814L2NA产品.pdf,这是一款基于Intel GM45平台的Mini-ITX单板主板,适用于广告机、地铁PIS系统、医疗监护和医疗B超机等领域。该主板具有高性能和低功耗特性,支持多个显示功能。" 研祥EC7-1814L2NA是一款...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值